世界500强企业的主机系统安全配置标准(4)

世界500强企业的主机系统安全配置标准

root 帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。

REDHAT: 可以通过在/etc/securetty配置文件实现root的登录控制，

/etc/securetty文件中包含了所有的可供root登录的TTY端口，这个配置文件在默认的状态下只包括了物理终端console TTY

必须有相应的日志记录来跟踪成功或失败的su尝试。这个功能可以通过使用pam_wheel模块来实现。在/etc/pam.d/su添加如下auth required

/lib/security/pam_wheel.so debug group=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。要添加一个用户到这个系统组，可以使用如下命令来实现：

#usermod -G sinoadmin userid (userid=the userid)

SOLARIS: 对于root的物理终端console登录限制可以通过在/etc/default/login配置文件中添加CONSOLE=/dev/console配置行来实现。

AIX:在/etc/security/user配置文件中的root帐号的配置段落必须存在rlogin = false的配置定义，以此来实现Root的物理终端console登录限制。

4.3 默认系统帐户安全标准

对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用，通常对于这些用户不需要登录访问，故此可以通过在/etc/shadow (REDHAT or SOLARIS) 或/etc/security/passwd (AIX) 文件相关的口令字段中设置“*”号来实现。

REDHAT: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。

nfsnobody

games

rpc

postgres

nscd

news

gopher

named

rpcuser

SOLARIS: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。

lp

uucp